IDF「DF⼈材育成」分科会 資料 ネットワーク・フォレンジック 東京電機⼤学 ⼋槇 博史 1 講義概要 • ネットワーク・フォレンジック – ネットワーク・フォレンジックの定義 – デジタル・フォレンジックとの関係 • 標的型攻撃との関係 – 標的型攻撃の段階 – 標的型攻撃の検出 • システム群 – – – – IDS、IPS ログ監視システム SIEM LIFT • 演習 – ログ解析 – パケット解析 2 ネットワーク・フォレンジックとは ネットワーク・フォレンジックとは、「セキュリティ 上の攻撃や問題を発⽣させるインシデントの発⽣源を 発⾒するために、ネットワーク上のイベントをキャプチャ、 記録、分析すること」である。 Marcus J. Ranum セキュリティ・システムの設計や開発の 専⾨家として世界的に有名。プロキシー型 ファイアウォールの発明者として、1980年代 に最初 の商⽤ファイアウォールを提供。 3 各種ネットワーク装置のログ ファイアーウォール プロキシーサーバ IPSのログ Sysintehral プロセスとパケットを対応付けたログ 4 標的型攻撃と対策案 初期 侵⼊ 侵⼊の 拡⼤ ⽬的の 遂⾏ 標的型メール ぜい弱性を ついた攻撃 機密情報の盗み出し 攻撃法 不正メール の⾒極め 対策案 ① ② セキュリティパッチ アクセス制御など 不正送出の 検知・防⽌ パケット系のログ・証跡管理(ネットワーク・ フォレンジック)の充実による被害実態の早期把握 組織内CSIRT( computer security incident response team ) の設置と継続的充実による早期対応 など 5 標的型攻撃対策のための 適切なログの管理(その1) <機器によらない全般的な対策> 1.各ログ取得機器のシステム時刻を、タイム サーバを⽤いて同期する。 2.ログは1年間以上保存する。 3.複数のログ取得機器のログを、ログサーバを ⽤いて⼀括取得する。 4.攻撃等の事象発⽣が確認された場合の対処 ⼿順を整備する。 内閣官房情報セキュリティセンター: http://www.nisc.go.jp/active/general/pdf/logkanri_kanki_120705.pdf 6 標的型攻撃対策のための 適切なログの管理(その2) <機器別の対策> 1.ファイアウォール: 「外⇒内で許可した通信」と「内⇒外で許可・ 不許可両⽅の通信」のログを取得する。 2.Web プロキシサーバ: 接続を要求した端末を識別できるログを取得する。 3.他のシステムや機器の権限を管理するサーバ (LDAP、Radius 等): 管理者権限による操作ログを取得する。 内閣官房情報セキュリティセンター: http://www.nisc.go.jp/active/general/pdf/logkanri_kanki_120705.pdf 7 標的型攻撃対策のための 適切なログの管理(その3) <機器別の対策> 4.メールサーバ: 「メールの送受信アドレス」及び「メッセ―ジID」 のログを取得する。 5.クライアントPC: マルウェア対策ソフトウェアの検知・スキャンログ・ パターンファイルのアップデートログを取得する。 6.DB サーバ・ファイルサーバ:特別なログ設定は 不要だが、確実にログを取得する。 内閣官房情報セキュリティセンター: http://www.nisc.go.jp/active/general/pdf/logkanri_kanki_120705.pdf 8 ネットワーク・フォレンジックの対応フェーズ フェーズ1 フェーズ2 フェーズ3 フェーズ4 フェーズ5 先進的 企業 今後 監視情報と の統合 管理の インテリ ジェント化 ⼤多数の 企業 対応 状況 ネットワーク 各種ログの 関連ログの 統合管理 収集 機能 ツール なし SIEM: LIFT: パケット ログ記録 ツール ログ統合 管理 ツール SIEM LIFT Security Information and Event Management Live and Intelligent Network Forensic Technologies 9 SIEM製品 セキュリティに関する統合ログ管理と、リアルタイムに ⾼速な分析を⾏うことにより、異常を検知し異常状況を 分かりやすく視覚化するもの ① McAfee Security Information and Event Management (マカフィ) ② IBM Security Qradar (IBM) ③ SIEMマネジメントサービス (富⼠通)ほか SIEM: Security Information and Event Management 10 SIEMの問題点と対策案 1.対策の総合的判断が過剰に運⽤者の能⼒に依存 (1)判断の⾃動化 AI技術の活⽤ (2)対応に関する適切なガイド 2.判断に利⽤する情報が不⼗分 (1)パケットを流した元のアプリケーションの探索⽅法の確⽴ (2)LIVEメモリー情報のトリガーベースの効率的収集 (3)不当に消されたデータの持つ情報の有効利⽤ (4)ゾーンニングなどの能動的⾏動によって得られる情報の有効利⽤ (5)計画⽀援システムとのリンク (6)実証実験システムとのリンク 11 LIFTプロジェクトの概要 ①計画⽀援 システム ②状況認識知識 獲得⽤実験環境 ③LIFTシステム (標的型攻撃対応⾃動運転・ 操作ガイドシステム) (1)基本機能:AI技術の導⼊ (2)追加情報: 原因プロセス発⾒機能、など 知識 検知 システム 各種ログ ルータ 共同開発プロジェクト (リーダ佐々⽊、上原先⽣、⾼倉先⽣、⼋槙先⽣、 柿崎先⽣、⽇⽴他) 期間:2013年9⽉ー2017年3⽉(第⼀期) 現状での主な成果:①⽅式確⽴ ②原因プロセス発⾒ソフト製品化 12 LIFTシステムの運⽤イメージ パケット・プロ セス対応付け プログラム 実システム イベント 徴候の 検知 追加作業・ 徴候検知 対策・監視 ルール ベース で演算 徴候・事象関連 テーブル 事象 No 把握可 Yes LIFTシステム 事象把握⽤追加 作業テーブル 事象・対策 関連テーブル 追加作業ガイド 対策ガイド 運⽤者 13 徴候・事象関連テーブルと確信度 14 LIFTシステムの運⽤イメージ パケット・ プロセス対応付 けプログラム 実システム イベント 追加作業・ 徴候検知 徴候の 検知 対策・監視 ルール ベース で演算 徴候・事象関連 テーブル 事象 把握可 No Yes LIFTシステム 事象把握⽤追加 作業テーブル 事象・対策 関連テーブル 追加作業ガイド 対策ガイド 運⽤者 15 ネットワーク・フォレンジックの基本作業 • パケットキャプチャ – 通信の解析 – Wireshark, TCPdump, … • ログ解析 – サーバ、ネットワークスイッチ、IDS… – 状況分析 • SIEM、LIFT等による⾃動化 16 パケットキャプチャ • ネットワークインタフェースに⼊⼒されるデータ の記録、分析 – インシデント対応 – ネットワークトラブルの原因追及 – プロトコル解析 etc. • 「パケット」キャプチャと呼ぶが、実際にはL2 のフレームやL4のデータグラムも分析対象 – 各レイヤに関するプロトコルの知識が不可⽋ 17 パケットキャプチャツール • Wireshark – キャプチャしたパケットの解析、フィルタ機能に よる抽出など • 演習で使⽤⽅法を説明、実際の解析⼿順を学ぶ – 各種プロトコル:HTTP、HTTPS、SMTP、DNS、DHCP、… – フィルタの使⽤⽅法 • Tcpdump, Network Miner, Xplico, tcpslice, tcpflow,… 18 ログ分析 • 各種ログ – サーバ、スイッチ、DSなど – 演習 • ログの読み⽅、設定 • ログと攻撃内容との関係 – ブルートフォース攻撃、ポートスキャン etc/ • IDS/IPS – アラート 19 反省事項 • 講義:概略的過ぎた? – SIEMの概略までは知っているので、むしろLIFTについて つっこんだところを知りたいという意⾒ • CySec初年度⽣の特質かも... – 参考⽂献を充実させてほしい • 標準的な⽂献が確⽴していない悩み • 演習:もっとリアルでもよいが、そうすると プロトコルの理解が必須になり時間が不⾜ – 時間内で説明できるのはよく知られた事例 – TCPの3ウェイハンドシェイクを悪⽤して云々、はわかって いる⼈には簡単だが、知らないと何の話かついていけない という、受講⽣のちょっとしたレベル差で⽣まれるギャップ 20 CySecの観点から • 多くの問題はデジタル・フォレンジック科⽬だけ の話ではない • 社会⼈受講者にとっては易しく、⼤学院⽣受講者 にとっては難しい傾向 – 受講者のレベル把握の難しさ – 社会⼈ターゲットという概ねの⽅針はある – 最初の想定よりも⼀期⽣のレベルが⾼い • 「これからCSIRT」を想定していたところに「すでにCSIRT」 の⼈が多く来た • 時間が⾜りない – ⼊⾨から話すと学部で半期かかるものを1コマに⼊れて ある 21 まとめ • 講義の範囲 – – – – 定義 標的型攻撃 ログ分析、パケット解析 監視システム • 悩ましいところ – 標準的な解釈・教科書の不在 – どこまで掘り下げるか 22
© Copyright 2024 ExpyDoc
